海颐特权账号安全管理系统产品白皮书(1)

海颐特权账号安全管理系统白皮书烟台海颐软件股份有限公司二〇一五年八月声明版权声明烟台海颐软件股份有限公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本手册的版权归烟台海颐软件股份有限公司所有。未得到烟台海颐软件股份有限公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。烟台海颐软件股份有限公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但本公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。目录前言................................................................1一、现状分析......................................................21.1特权账号都有哪些？..........................................21.2特权账号安全管理存在哪些难点？..............................2二、特权账号的安全管理需求..........................................42.1特权账号密码管理............................................42.2特权账号权限管理............................................42.3特权账号操作管理............................................4三、特权账户安全管理的基本要求......................................5四、海颐特权账号安全管理系统........................................64.1产品模块....................................................64.1.1EPV介绍..............................................74.1.2PSM介绍..............................................84.1.3DDM介绍..............................................94.1.4AIM介绍.............................................104.1.5OPM介绍.............................................104.1.6SKM介绍.............................................104.2产品功能...................................................114.2.1账号管理功能.........................................114.2.2身份认证集成.........................................124.2.3授权管理功能.........................................124.2.4审计管理功能.........................................134.2.5单点登录功能.........................................134.2.6核心数据防护.........................................144.3产品优势...................................................164.4逻辑架构...................................................174.5物理架构...................................................184.6建设蓝图...................................................204.7故障应急处理...............................................204.7.1故障转移.............................................204.7.2应急处理.............................................21海颐特权账号安全管理系统产品白皮书1前言本文档详细介绍了海颐特权账号安全管理系统（HaiYi-PAS），HaiYi-PAS让企业用户可以安全地、自动化地管理企业特权账号，包括各种操作系统平台、数据库系统、各种网络设备的管理密码以及业务系统中间件密码，提供审计和日志功能，图形化显示当前企业总体特权账号密码信息统计和密码使用情况。目标读者CIO、CISO、COO、风险管理专员、信息安全架构师、数据库安全工程师、网络安全工程师、安全审计工程师等。略缩语本文档使用下列缩略语：EPV企业密码保险库EnterprisePasswordVaultPSM特权会话管理PrivilegedSessionManagementDDM动态数据脱敏DynamicDataMaskingAIM应用账号管理ApplicationIdentityManagementOPM请求式特权管理On-DemandPrivilegedManagerSKMSSH秘钥管理SSHKeyManagerPTA特权威胁分析PrivilegedThreatAnalyticsCPM密码策略管理CentralPasswordManagerPVWA密码保险库WEB访问应用PasswordVaultWebAccess定义说明Vault密码保险库Replicator复制器海颐特权账号安全管理系统产品白皮书2一、现状分析1.1特权账号都有哪些？1)各类主机操作系统的管理账号，如AIX、WINDOWS、LINUX……2)各类数据库系统的管理账号,如ORACLE、SQLSERVER、DB2……3)各类中间件系统管理账号：如WEBSHPERE、WEBLOGIC、TOMCAT……4)各种网络设备的管理账号,如路由器、交换机、VPN……5)各种安全系统和设备管理账号：防火墙、入侵检测、防病毒……6)应用系统内嵌账号：应用系统源码、配置文件、中间件中的数据库访问账号、API接口账号……业务前台管理账号：核心业务系统前台的管理账号、批量数据下载账号、用户管理账号……1.2特权账号安全管理存在哪些难点？企业的服务器、数据库和业务系统众多，特权账号无处不在，管理人员无法对这些有形资产、无形资产进行有效的、统一的管理。特权账号安全管理存在着以下几个难点问题：（一）、特权账号密码管理1、密码还是属于人为管理，以文件形式记录在电脑上，没有安全的存储，存在的极大的安全隐患；2、密码缺少统一管理，运维人员（内部与外部）也会掌握一批账号密码；3、很多系统的密码设置都会相同以便于记忆，甚至一个业务系统相关的设备、中间件、系统都采用同一个密码；4、特权账号密码没有定期校验机制，可用性没有保障；5、在中间件、应用代码和配置文件中配置静态的数据库密码，这部分海颐特权账号安全管理系统产品白皮书3数据库密码无法管理；6、虽然管理策略对密码有明确的安全基线要求，但由于管理的分散性，安全基线的落实难以全面到位。（二）、特权账号权限管理1、大部分账号没有推行最小权限原则，root或者管理员权限被大量发放，并且是在没有规范管理和审计的情况下；2、部分特权账号被多人共享，而这些共享的人员往往并非是应该获得该账号完全权限的人员；3、由于第三方运维人员更换较为频繁，许多运维管理账号的交接无法有效管控，特权账号可能被离开的第三方人员使用。（三）、特权账号操作管理1、特权账号存在共享情况，对安全事件进行分析时，不能准确定位具体责任人；2、由于管理的分散性，大部分特权账号的越权或滥权操作不能实时告警和自动策略阻断，如SQL语句。海颐特权账号安全管理系统产品白皮书4二、特权账号的安全管理需求基于上述分析，我们建议建立统一的特权账号管理和单点登录机制，达到以下目标：2.1特权账号密码管理1)强制推行运行中心特权账号密码管理的安全策略，包括一次性密码、强口令、排他性密码及密码版本保存等；2)可周期性自动重置密码；3)建立完善可控的特权账号与密码的申请、审批、发放及回收的机制；4)密码的传输应使用安全的加密协议；5)定期检查密码一致性，并为不一致的情况提供处理机制；6)建立全网统一的特权账号密码安全管理策略及技术体系，并得以贯彻实施。2.2特权账号权限管理1)在当前还不能真正实现对所有特权账号进行权限最小化控制的情况下，通过对特权账号操作行为进行全面监控审计达到有效的权限管理目标；2)从机制上杜绝共享账号的存在；3)第三方运维人员离岗后，即使掌握了原来的一些特权账号也不能再继续使用。2.3特权账号操作管理1)彻底解决共享账号带来的操作审计信息失真，实现账号与责任人的一一对应，确保安全事件可以准确定位；2)实现对特权账号的越权或滥权操作实时告警和自动策略阻断。海颐特权账号安全管理系统产品白皮书5三、特权账户安全管理的基本要求通过实施特权账号安全管理，对全网络信息系统的账号及基于这些账号所进行的特权会话强化为系统化自动化的集中安全管理模式（账号管理、身份认证、统一授权、单点登录、统一审计），进一步完善符合监管的信息安全和风险管理手段，提升主动防御能力，降低敏感信息外泄的风险。具体要求如下所述：1)统一特权账号安全访问门户，对所有特权账号及密码进行统一的管理、统一的安全策略、统一的技术框架；2)新服务器上线即纳入特权账号管理；3)新业务应用上线配合部署特权账户安全管理系统，将相关数据库账号纳入自动管理范畴；4)定期扫描分布账号快照，通过匹配，发现未管理的特权账号；5)依靠统一日志平台及时发现特权账号的新增、删除、权限修改和密码更新等；6)分布式架构使得总部即能实现安全策略的下发。总部对分部的账号管理具有很强的控制能力；7)可以节约大量的人力成本来对密码进行管理，在提高了安全性的情况下，人员的工作效率还更高，实现了管理的创新与技术的创新；8)无需再关注弱密码的问题，只要定期的清理特权账号，以发现未符合流程审批的特权账号创建及可疑账号的创建，并定期对各单位进行考核；9)应用程序账号密码集中管理，建立可扩展的应用程序账号安全平台。海颐特权账号安全管理系统产品白皮书6四、海颐特权账号安全管理系统4.1产品模块HaiYi-PAS套件由6个主动空管组件组成：EPV–企业密码保险库基于海颐软件独有的密码保险库技术，为企业密码提供安全的密码存储解决方案。同时，EPV负责为用户提供管理和使用界面，执行企业密码安全策略。企业密码保险库可根据特权账号安全策略控制密码访问人员和访问时间。这一自动化处理可节省时间，减少出现的错误率，符合审计和规范要求。PSM–特权会话管理特权会话管理可隔离、控制并监控特权用户访问和行为，可提供单一访问控制点，防止恶意软件跳转到目标系统，并记录每一按键和鼠标操作，实施连续监控。可提供完整会话记录，具有搜索、定位和敏感事海颐特权账号安全管理系统产品白皮书7件警告功能。实时监控确保特权访问受到连续保护，并可在发现可疑事件时实时终止会话。DDM–动态数据脱敏符合数据隐私条款和内部审核要求，大幅降低数据外泄风险，保护个人和敏感信息。同时支持分布式、外包运营及云端启用，以空前便捷的架构，跨所有应用系统、备份、复制、数据仓库、开发和DBA工具